Fritzbox VPN achter CGNat

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
liegebeestig
Elite Poster
Elite Poster
Berichten: 2266
Lid geworden op: 01 jun 2006, 15:16
Uitgedeelde bedankjes: 35 keer
Bedankt: 70 keer

Het begint steeds meer voor te komen: je krijgt niet zomaar een publiek IPv4 meer, maar komt steeds vaker achter een CGNat terecht... Dat lijkt in mijn geval vooral een probleem als ik VPN gebruik op de smartphone om op mijn Fritzbox / netwerk terecht te komen. Fritz heeft een IPsec VPN server als ik me niet vergis.

Hoe kan ik de VPN-server van de Fritzbox blijven gebruiken achter een niet-publiek IP? Kan ik de truc met de reverse proxy toepassen? En is er iemand die dat simpel kan uitleggen?
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2966
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 286 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Voor zover ik reverse proxy begrijp betekent dit dat je ergens een (kleine) VPS hebt (en dus vast IP-adres) waarbij je Fritz!Box verbindt met de VPS zodat je een kanaal open hebt liggen. Via de VPS kan je dan terug communiceren met je Fritz!Box.
Computer(k)nul
liegebeestig
Elite Poster
Elite Poster
Berichten: 2266
Lid geworden op: 01 jun 2006, 15:16
Uitgedeelde bedankjes: 35 keer
Bedankt: 70 keer

Sinna, dank je, zoiets had ik ook begrepen. Er is zelfs een handleiding te vinden van (volgens mij) een Userbaser:
https://community.base.be/t5/Technologi ... /td-p/5861

Maar helaas ben ik hem kwijt bij de linux server... En dan nog: werkt de VPN-server van Fritzbox dan nog?

Edit: ik heb vermoedelijk iets nodig bij OVH, een virtual server. En op die OVH server kun je dan poorten openzetten zodat externe toestellen daarop kunnen verbinden. Van achter je CGNat kun je dan zelf een verbinding opzetten naar de virtuele server bij bv OVH. OK, zo ver ben ik mee, maar de uitvoering... En of VPN dan nog werkt?
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2966
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 286 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Zoek eens naar "openvpn via ssh tunnel". Wellicht geraak je dan verder.
Je zal inderdaad een VPS (Virtual Private Server) van doen hebben, maar niemand verplicht je die bij OVH te nemen.
Computer(k)nul
liegebeestig
Elite Poster
Elite Poster
Berichten: 2266
Lid geworden op: 01 jun 2006, 15:16
Uitgedeelde bedankjes: 35 keer
Bedankt: 70 keer

Het gaat mijn petje te boven helaas. VPN zal op termijn, als ik ooit achter een CGNat terechtkom, dus niet meer werken. Vermits ik het op Fritzbox enkel gebruik om mijn IP-telefonie van op afstand te gebruiken, kan ik de Fritzbox voortaan een IP-toestel vrij laten geven op het internet... alhoewel, ook daar heb je wellicht een open poort voor nodig...
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2966
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 286 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Het is op zich niet zo moeilijk, maar 't is voor mij ook al te lang geleden.
En om louter daarvoor een VPS in de lucht te houden, dat lijkt mij duur op.
Computer(k)nul
CCatalyst
Elite Poster
Elite Poster
Berichten: 8271
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

IPSec werkt via NAT-T over CGNAT, maar om de VPN verbinding te initieren moet de client natuurlijk wel eerst op een publiek IP terecht kunnen, al dan niet met port forwarding.

De oplossing is idd een VPS met publiek IP die permanent verbonden is met je router/firewall thuis en waarop jij ook extern kan connecteren. Dan kan je aan je thuisnetwerk met de VPS als tussenstap.

De kost van de VPS (wat m.i. nu ook niet zoveel is, $50-$60 per jaar) kan je mee verantwoorden door daar bepaalde diensten van je netwerk in te draaien eventueel? Want die VPS maakt via VPN deel uit van je netwerk.

Een andere oplossing, zonder VPS, is IPv6. Daarop doet men geen CGNAT wegens onnodig.
liegebeestig
Elite Poster
Elite Poster
Berichten: 2266
Lid geworden op: 01 jun 2006, 15:16
Uitgedeelde bedankjes: 35 keer
Bedankt: 70 keer

Aha dan is ipv6 wellicht de juiste oplossing. Dan moet ik aan @philippe_d eens vragen hoe je op fritzbox met ipv6 een vpn of op telefoon kunt gebruiken.

@philippe_d hoe gebruik ik ipsec vpn ingebouwd in de fritzbox met een publiek ipv6 adres? Zet ik dan ergens ipv4 uit?

Antwoord blijkbaar negatief toch zeker voor mobiel naar vpn Fritz. Vooral dan omdat mobiel meestal geen ipv6 heeft.
https://avm.de/service/fritzbox/fritzbo ... g-moglich/
philippe_d
Moderator
Moderator
Berichten: 17490
Lid geworden op: 28 apr 2008, 11:22
Locatie: Waregem
Uitgedeelde bedankjes: 923 keer
Bedankt: 3349 keer
Recent bedankt: 4 keer

VPN server
Als jouw Fritz!Box geen publiek IPv4 adres heeft, dan is de Fritz!Box VPN server van buitenaf niet bereikbaar. De Fritz!Box VPN werkt niet met IPv6. Er zijn wellicht wel work-arounds mogelijk, maar daar heb ik geen ervaring mee...

Wat de SIP server betreft, heb ik geen idee.
Als je een IP telefoon bereikbaar maakt vanuit internet, dan zou het misschien wel kunnen werken, op voorwaarde dat jouw softphone (via WiFi of via 4G) IPv6 heeft?

Wat betreft CGNAT
De meeste Belgische ISP's passen (nog) geen CGNAT toe op vaste internetverbindingen.
Proximus doet dit wel, maar dat kan je als klant via "Mijn Proximus" uitzetten.

In de toekomst zal "PCP" wellicht de oplossing moeten geven voor het openen van poorten op de firewall van de ISP.
De Fritz!Box ondersteunt dit in ieder geval nu al.
VoIP: WeePee (vaste nummers geporteerd), Sipgate.de, Sipgate.co.uk, MegaVoip (uitgaand België).
Provider: Proximus Fiber Essential (50/8 mbps down/up).
Modem/Router: Fritz!Box 7590 int, OS 07.50, aangesloten op Proximus ONT (VLAN20).
Telefoon centrale: Euracom 181 achter FritzBox So.
TV: Telenet CI+, Fritz!DVB-C.
liegebeestig
Elite Poster
Elite Poster
Berichten: 2266
Lid geworden op: 01 jun 2006, 15:16
Uitgedeelde bedankjes: 35 keer
Bedankt: 70 keer

Bedankt voor de heldere uitleg. Die PCP gaat technisch ook nog mijn petje te boven. Kun je eventueel een duidelijke uitleg in jouw stijl eens posten? En hoe werkt dat nu al mrt bv een provider als tadaam ofzo met daarachter de Fritz.

Eigenlijk zijn de sip telefoons mijn enige echte use case voor vpn of poorten openen. De rest hoeft strikt gezien niet bereikbaar te zijn of doet het zelf via eigen cloud dienst type synology.

Edit. Uitleg pcp gebonden in topic Fastic. Dus helaas nog geen ISP in België.
Plaats reactie

Terug naar “Netwerken en Security”